OIDC-konfiguration
Steg 1: Ställ in en SSO-identifierare
Användare som autentiserar sin identitet med SSO kommer att behöva ange en SSO-identifierare som anger organisationen (och därför SSO-integrationen) att autentisera mot. Så här ställer du in en unik SSO-identifierare:
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Product switcher Navigera till Inställningar → Enkel inloggning och ange en unik SSO-identifierare för din organisation:
Enter an identifier Fortsätt till steg 2: Aktivera inloggning med SSO.
tip
You will need to share this value with users once the configuration is ready to be used.
Steg 2: Aktivera inloggning med SSO
När du har din SSO-identifierare kan du fortsätta med att aktivera och konfigurera din integration. Så här aktiverar du inloggning med SSO:
Markera kryssrutan Tillåt SSO-autentisering i Inställningar → Enkel inloggning:
OIDC configuration Från rullgardinsmenyn Typ väljer du alternativet OpenID Connect. Om du tänker använda SAML istället, växla över SAML-konfigurationsguiden.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Steg 3: Konfiguration
Från och med denna tidpunkt kommer implementeringen att variera från leverantör till leverantör. Hoppa till en av våra specifika implementeringsguider för hjälp med att slutföra konfigurationsprocessen:
Leverantör | Guide |
|---|---|
Azurblå | |
Okta |
Referensmaterial för konfiguration
Följande avsnitt kommer att definiera fält som är tillgängliga under konfigurationen av enkel inloggning, agnostiskt vilken IdP du integrerar med. Fält som måste konfigureras kommer att markeras (obligatoriskt).
tip
Unless you are comfortable with OpenID Connect, we recommend using one of the above implementation guides instead of the following generic material.
Fält | Beskrivning |
|---|---|
Återuppringningsväg | (Automatiskt genererad) URL:en för automatisk omdirigering av autentisering. För molnbaserade kunder är detta |
Utloggad återuppringningsväg | (Automatiskt genererad) URL:en för automatisk utloggning. För molnbaserade kunder är detta |
Myndighet | (Obligatoriskt) URL:en till din auktoriseringsserver ("Authority"), som Bitwarden kommer att utföra autentisering mot. Till exempel |
Klient-ID | (Obligatoriskt) En identifierare för OIDC-klienten. Detta värde är vanligtvis specifikt för en konstruerad IdP-appintegration, till exempel en Azure-appregistrering eller Okta-webbapp. |
Klienthemlighet | (Obligatoriskt) Klienthemligheten som används tillsammans med klient-ID:t för att byta mot en åtkomsttoken. Detta värde är vanligtvis specifikt för en konstruerad IdP-appintegration, till exempel en Azure-appregistrering eller Okta Web App. |
Metadataadress | (Krävs om auktoriteten inte är giltig) En metadata-URL där Bitwarden kan komma åt auktoriseringsserverns metadata som ett JSON-objekt. Till exempel,
|
OIDC Redirect Beteende | (Obligatoriskt) Metod som används av IdP för att svara på autentiseringsförfrågningar från Bitwarden. Alternativen inkluderar Form POST och Redirect GET. |
Få anspråk från slutpunkten för användarinformation | Aktivera det här alternativet om du får URL för långa fel (HTTP 414), trunkerade URL:er och/eller fel under SSO. |
Ytterligare/anpassade omfattningar | Definiera anpassade omfattningar som ska läggas till i begäran (kommaavgränsade). |
Ytterligare/anpassade användar-id-anspråkstyper | Definiera anpassade nycklar för anspråkstyp för användaridentifiering (kommaavgränsad). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Ytterligare/anpassade e-postanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas e-postadresser (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Ytterligare/anpassade namnanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas fullständiga namn eller visningsnamn (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Begärda referensvärden för autentiseringskontextklass | Definiera autentiseringskontextklassreferensidentifierare ( |
Förväntat "acr"-anspråksvärde som svar | Definiera |
OIDC-attribut och påståenden
En e-postadress krävs för kontoadministration, som kan skickas som något av attributen eller anspråken i tabellen nedan.
En unik användaridentifierare rekommenderas också starkt. Om frånvarande kommer e-post att användas i dess ställe för att länka användaren.
Attribut/anspråk listas i prioritetsordning för matchning, inklusive reservalternativ där tillämpligt:
Värde | Anspråk/attribut | Reservanspråk/attribut |
|---|---|---|
Unikt ID | Konfigurerade anpassade användar-ID-anspråk | |
E-post | Konfigurerade anpassade e-postanspråk urn:oid:0.9.2342.19200300.100.1.3 | Preferred_Username |
Namn | Konfigurerade anpassade namnanspråk urn:oid:2.16.840.1.113730.3.1.241 | Förnamn + " " + Efternamn (se nedan) |
Förnamn | urn:oid:2.5.4.42 | |
Efternamn | urn:oid:2.5.4.4 |